Microsoft izvaja nekaj velikih izboljšav varnosti sistema Windows 11 z novimi funkcijami in strojno opremo, vključno s pametnim nadzorom aplikacij.
Microsoft je napovedal vrsto varnostnih izboljšav, ki prihajajo v Windows 11, da bi odpravili skrbi pri hibridnem delu. Funkcije so zasnovane tako, da pomagajo podjetjem in uporabnikom, da postanejo bolj samozavestni glede programske opreme, ki jo uporabljajo to je sam OS ali njegove aplikacije, kar je še posebej pomembno v času, ko veliko uporabnikov dela stran od urad. Mnoge od teh stvari niso povsem nove, vendar bodo kmalu na voljo ali so na voljo pred kratkim.
Microsoft Pluton
Varnostni procesor Microsoft Pluton je nov del strojne opreme, ki je vključen v nove naprave in se integrira neposredno s CPE in Windows 11. Pravzaprav je to edini varnostni procesor, ki ima vdelano programsko opremo, ki jo je mogoče posodobiti neposredno prek storitve Windows Update, zaradi česar lažje dodajanje novih funkcij in zmožnosti brez zapletenih ročnih posodobitev v podjetju okolju. Posodobitve je mogoče upravljati tako kot vse druge posodobitve za Windows 11. Ta tesna integracija tudi pomeni, da je Microsoft Pluton zasnovan tako, da dobro deluje s funkcijami, kot sta BitLocker in Windows Hello v sistemu Windows 11. Vdelano programsko opremo za Pluton so razvili isti ljudje v skupini Windows, tako da vse deluje v tandemu.
Integracija s CPE tudi ščiti naprave pred fizičnimi napadi, zato je to obsežna varnostna rešitev za podjetja in poenostavlja konfiguracijo.
Integriteta kode, zaščitene s hipervizorjem
Od naslednje izdaje sistema Windows 11 Microsoft omogoča celovitost kode, zaščitene s hipervizorjem (HVCI) v več napravah s sistemom Windows 11. Ta funkcija je zasnovana za zaščito uporabnikov pred ranljivostmi gonilnikov, ki so glavni vir napadov zlonamerne programske opreme. HVCI preprečuje nalaganje zlonamerne programske opreme v pakete gonilnikov in preverja, ali so nameščeni gonilniki vredni zaupanja. Uporablja podatke iz Microsoftovega centra za poročanje o ranljivih in zlonamernih gonilnikih za samodejno blokiranje gonilnikov, ki so za katerega je znano, da je ranljiv, in preprečuje ranljivim gonilnikom iz jedra sistema Windows, tako da nikoli nimajo možnosti, da bi bili izkoriščali.
Nadzor pametne aplikacije
Smart App Control, ki je bil prvič opažen v Windows 11 build 22567, omogoča sistemu Windows, da samodejno blokira zagon potencialno nevarnih aplikacij. Seveda do neke mere to že obstaja, a tokrat je nekaj več. SAC uporablja podpisovanje kode in umetno inteligenco za predvidevanje morebitnega zlonamernega vedenja aplikacij, preden se odloči, ali se te aplikacije lahko izvajajo. Uporablja nenehno posodobljen sklepni model za določanje varnosti aplikacij z uporabo najnovejših podatkov o grožnjah, skupaj s kodnimi certifikati, da zagotovi, da so aplikacije varne, preden jih zaženete. Na ta način uporabnikom ni treba skrbeti za zagon potencialno nevarnih aplikacij brez njihove vednosti.
Smart App Control bo na voljo v novih napravah, ki so dobavljene z naslednjo različico sistema Windows 11. Če nadgradite s trenutne različice, boste morali ponastaviti računalnik ali čista namestitev Windows 11 uporabite ISO, da ga vidite.
Varnost poverilnic in računa
Microsoft prav tako izboljšuje splošno varnost računa v sistemu Windows 11. Prvič, zaznavanje lažnega predstavljanja zapeče neposredno v Windows 11 s funkcijo SmartScreen programa Microsoft Defender. Microsoft trdi, da je blokiral več kot 25,6 milijarde napadov na Aure Active Directory in prestregel 35,7 milijarde lažnega predstavljanja e-pošto z Microsoft Defenderjem za Office 365 – in to šele v zadnjem letu – in zdaj bo ta zaščita na voljo v operacijskem sistemu raven.
Microsoft tudi privzeto omogoča Credential Guard v sistemu Windows 11 Enterprise. Ta funkcija pomaga zaščititi naprave pred krajo poverilnic z uporabo tehnik, kot je prenos zgoščene vrednosti, poleg tega lahko prav tako prepreči zlonamerni programski opremi dostop do sistemskih skrivnosti, tudi če se njen proces izvaja s skrbnikom privilegije.
Končno, Microsoft izboljšuje lokalni varnostni organ (LSA) za boj proti napadom, ki izkoriščajo to funkcijo za krajo uporabniških poverilnic. Natančneje, podjetje skrbi za to, da lahko LSA naloži samo zaupanja vredno in podpisano kodo, tako da se zlonamerni programi ne morejo prikradti v proces in ukrasti poverilnic, ki gredo skozi LSA. Ta dodatna zaščita bo v prihodnje privzeto omogočena za nove naprave Windows 11, ki se bodo pridružile podjetju.
Šifriranje osebnih podatkov
Ime te funkcije je dokaj samoumevno. V bistvu bo šifriranje osebnih podatkov zagotovilo, da so uporabniški podatki zaščiteni s šifriranjem, ki se prekine le, če je zadevni uporabnik prijavljen. To je zmogljivost platforme, ki jo lahko uporabljajo aplikacije in IT oddelki, da zagotovijo zaščito podatkov v primeru kraje naprave. Šifriranje je povezano s sistemom Windows Hello for Business, tako da se morajo uporabniki prijaviti brez gesla poverilnice za dostop do podatkov, zaradi česar nekdo s fizičnim dostopom do naprave težje ukrade navedene podatke.
Zaklepanje konfiguracije
Končno je tu še Config Lock, ki je funkcija, ki je bolj namenjena IT oddelkom znotraj organizacije in je dejansko že na voljo. Po mnenju Microsofta je pogosta težava podjetij, da imajo omejen nadzor nad napravo, ko jo uporablja zaposleni. S funkcijo Config Lock lahko skrbniki IT uporabljajo pravilnike MDM za spremljanje registrskih ključev v vsaki napravi in če pride do kakršnih koli sprememb, Config Lock jih samodejno povrne "v nekaj sekundah" in nenehno zagotavlja, da naprava upošteva želeno varnost pravila.
Mnoge od teh funkcij so namenjene podjetjem, kot bi pričakovali, vendar so vsekakor pomembne. Ker hibridno delo postaja standard za številna podjetja, so ti koraki bistveni za ohranjanje uporabnikov in podjetja varna, zlasti glede na to, da so se v zadnjih nekaj letih povečali tudi kibernetski napadi leta.
Microsoft je napovedal tudi nove funkcije sistema Windows 11 vključno z raziskovalcem datotek z zavihki danes. Tukaj so tudi nove funkcije za Windows 365, vključno z načinom brez povezave.